Opinión
Seguridad bancaria en Internet: ya está aquí
María Campos, country manager de Stonesoft.
A perro flaco todo son pulgas: el sector bancario no sólo sufre unas terribles turbulencias financieras, también debe ser capaz de replantarse su seguridad virtual, y es que los pilares que conocíamos y sobre los que se asentaban los otrora todopoderosos bancos se han derrumbado, y a partir de ahora no hay punto de retorno.
Desde octubre de 2010 todo el panorama de seguridad en Internet ha dado un vuelco de 180 grados. Los hackers han encontrado la manera de burlar por completo y a placer las antiguas defensas de los sistemas bancarios y de nada sirve armarse hasta los dientes con los sistemas habituales que ahora resultan del todo ineficaces, como IPS, IDS u otros. Ellos van ganando el partido, y nos llevan mucha ventaja.
Pese a que en un primer momento el sector no quiso dar importancia a las alertas, en octubre de 2010 Stonesoft descubrió las llamadas Técnicas de Evasión Avanzadas o AETs, con las que los hackers están violando en cadena los sistemas de los organismos más prestigiosos y mejor protegidos del mundo: Citybank, FMI, NASDAQ… ¿Le suenan los nombres de las últimas víctimas? No son pymes con un sistema de seguridad desactualizado, no es un pobre jubilado que revisa sin antivirus sus cuentas bancarias, no. Son organizaciones que todos los años emplean millones de dólares en adoptar, supuestamente, los mejores sistemas de seguridad del mundo.
Y están en jaque gracias a unas simples siglas: AETs o Técnicas de Evasión Avanzadas, un conjunto de técnicas de evasión que pueden ser fácilmente alteradas o combinadas con criterios diversos con el fin de evitar la detección por parte de los sistemas de seguridad.
Así, actúan como “llaves maestras” que dan franco acceso a lugares altamente protegidos y facilitan que cualquier carga útil (y muy peligrosa) pueda ser entregada en su objetivo. Es decir, las Técnicas de Evasión Avanzadas ponen en riesgo la funcionalidad de los datos capitales y los sistemas de las organizaciones.
Analicemos, para apuntalar la anterior afirmación, el período comprendido entre 2010 y comienzos de 2011. Cuatro fenómenos diferentes, Wikileaks, Stuxnet, las Técnicas de Evasión Avanzadas y la violación del código fuente SecurID derribaron los axiomas básicos del pensamiento de seguridad y actuaron, en cierto sentido, como despertadores también en el ámbito estratégico bancario.
Amenaza constante
En efecto, la banca es uno de los sectores más amenazados por los hackers, por motivos bien obvios. Antes mencionábamos el gran ataque informático que sufrió Citybank, uno de los más importantes bancos norteamericanos en mayo de 2011. El resultado fue nada menos que 2,7 millones de dólares sustraídos de 3.400 cuentas corrientes de sus clientes. Con todo, el asunto pudo haber sido peor, pues los hackers consiguieron entrar en otras 360.083. El que no lograran sustraer más dinero fue un mero golpe de suerte.
Lamentablemente, este asunto no fue un hecho aislado. Organismos como el FMI, Lockheed Martin –proveedor de material tecnológico para el Departamento de Defensa de EE.UU- o la archiconocida Sony han sufrido asimismo abordajes exitosos a lo largo de 2011.
Pero hay más. ¿Quién no paga la compra con la tarjeta cada día? España, de hecho, es uno de los primeros países del mundo en su uso, por lo que nuestro riesgo aumenta. Ya en 2009 un individuo fue acusado de robar 130 millones de dólares de tarjetas de crédito y débito, hasta la fecha el mayor robo de este tipo que se ha cometido en EE.UU. El modus operandi fue aparentemente sencillo: el encausado, junto con otros dos compinches, accedieron a redes de supermercados, tiendas de conveniencia y compañías de gestión de pagos electrónicos. De esta manera, sustrajeron las claves de las tarjetas de débito y crédito de clientes y se hicieron con tan sustancioso botín.
Caeríamos en un imprudente error calificando estos golpes de “incidentes aislados”; los anteriores hackers no eran meros aficionados. La fiscalía del estado norteamericano donde se produjo el robo aseguró que los piratas se habían valido de una “sofisticada técnica” para infiltrar estas redes. Según esta misma fuente, los tres hombres identificaban grandes corporaciones, “normalmente a través de la lista Fortune 500” de las empresas más importantes y estudiaban, por ejemplo, el tipo de sistema de pago mediante tarjeta bancaria con el que operaban en sus sucursales.
Como vemos, las amenazas han cambiado, y lo peor es que no todos los proveedores lo están haciendo en consecuencia. A nuestro entender, está cada vez más claro que los hackers adoptan técnicas de mayor sofisticación para evitar ser cazados por los IPS e IDS. Pero lo que verdaderamente llama nuestra atención es que estos nuevos ejemplos han logrado vencer todas las defensas conocidas y penetrado en diversos protocolos, incluyendo IPv4, IPv6, TCP y HTTP. Es decir, pueden acceder a sus víctimas a través de Internet.
Aún así, no tenemos la menor duda de que algún día la industria en su conjunto será capaz de hacer frente a esta amenaza con la suficiente firmeza, pero hasta entonces nos queda un largo camino por recorrer, y antes de eso, naturalmente, debemos reconocer unánimemente por parte de proveedores y clientes la gravedad del problema y sus serias implicaciones.
-
A FondoHace 7 días
OpenAI y la industria de la IA tras el cataclismo provocado por DeepSeek
-
NoticiasHace 7 días
Más detalles del soporte extendido de Windows 10 para empresas
-
NoticiasHace 7 días
Las víctimas de ataques de ransomware aumentaron un 26% en 2024
-
NoticiasHace 7 días
Microsoft pone en marcha un grupo para estudiar el impacto de la IA en la sociedad